<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jul 28, 2018 at 4:05 AM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">A common theme of amateurish or over-hyped cryptosystems - at least a couple of years back; this seems to have faded - was the use of super-long keys for "higher security".  Realistically, all a longer key gives you is security against brute force attack, and 256 bits is already way beyond anything that can be attacked by any foreseeable technology.  And yet....<br>
<br>
Consider <a href="https://arstechnica.com/gadgets/2018/07/new-spectre-attack-enables-secrets-to-be-leaked-over-a-network/" rel="noreferrer" target="_blank">https://arstechnica.com/<wbr>gadgets/2018/07/new-spectre-<wbr>attack-enables-secrets-to-be-<wbr>leaked-over-a-network/</a> (contains link to the technical paper) which describes a Spectre-like attack that can be carried out over a network, without downloading any code to the system under attack.  It's one of a class of slow side-channel attacks - very slow; 1-3 bits per hour attacking a system in the Google Cloud over the Internet.  (They got it up to a bit per minute over a local network.<br></blockquote><div><br>There needs to be a revision or footnote to  "Covert Channel Analysis" (light pink of the rainbow series).<br>The assumption is that data is data, but this makes a special case for much lower bit rates from Spectre </div><div>like mitigation fixes where high value keys might reside.   Leveraged asymmetric attacks...<br><br><a href="https://fas.org/irp/nsa/rainbow/tg030.htm">https://fas.org/irp/nsa/rainbow/tg030.htm</a>  <-- light pink<br></div><div>"<span style="color:rgb(0,0,0);font-family:Tinos;font-size:medium;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">This policy allows for the existence of storage channels that are not auditable. Also, it allows for the possibility that covert storage and timing channels with bandwidths over B = 1 bit/second will exist in secure systems. However, the suggested values of b = 0.1 bits/second and B = 1 bit/ second are not justified based on any specific policy. The only basis for deriving these values is the determination that:</span><ul style="color:rgb(0,0,0);font-family:Tinos;font-size:medium;text-decoration-style:initial;text-decoration-color:initial"><li>"Covert channel handling may impose performance penalties, and that bandwidths of 1 bit/second are acceptable in most environments; and</li><li>"Although covert channels with bandwidth of over 1 bit/second may be allowed in a secure system, covert channels with bandwidths of over 100 bits/second approximate the rate at which many (old) computer terminals are run (or users can type). Therefore, the existence of such channels in a secure computer system would seem inappropriate."</li></ul><div><font color="#000000" face="Tinos" size="3"><br></font></div></div></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>